パスワードを忘れた? アカウント作成
6640 story

MS の「脆弱性の責任」を問う初の集団訴訟 281

ストーリー by Oliver
参加はお早めに 部門より

MIYU曰く、" ZDNNの記事によると、米Microsoftに対し、「脆弱性の責任」を問う 集団訴訟がカリフォルニアで起こされた。原告は、マーシー・レビタス・ハミルトン氏。インターネット経由で社会保障番号と銀行口座の情報を盗まれる被害に遭ったのだが、7月1日施行された カリフォルニア州法で、コンピュータ攻撃による危険にさらされた場合に、その旨を当人に通知しなくてはならない、とされているのに則って米Microsoftを訴えた模様だ。
訴状では、 そんなに恐い? MS批判で解雇 でも話題になっていたCCIAによる報告書の内容が使われているそうだが、Microsoftは、弁護士が訴状を調べているところだとして、コメントを避けている。
『1週間に3回もパッチをあてなくてはならないソフトを提供するのなら、 その責任を取れ』というのがこの訴訟の趣旨だそうだが、さて、ソフトの脆弱性にも製造責任は問えるのだろうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Microsoft最高セキュリティ責任者であるScott Charney氏が
    9月9日に経済産業研究所で行った セミナーの記事 [cnet.com]が、
    CNETJapanに掲載されています。
    現在のITの世界の状況を、車の発明と交通ルールの整備になぞらえていますが ・・・・このたとえ方だと、Windowsってリコールかかると思うんですが。

    えっと : マーシーさんは、女性だそうです。
    • リコールだと現実味が無さそうなので、安全性が証明できるまでの間、「3ヶ月間出荷停止」辺りが面白いかと。カメラ量販店の PC 売り場から売るモノが無くなる光景が目に浮かびます(Apple は除く)。で、初めて量販店は「リスクヘッジとして他の OS が搭載できる PC も扱ってみよう」と言う流れになる、と。

      、、、正直、売る側(MS は当たり前として PC メーカーや量販店も含めた全般)ももっと積極的にアラートを掛けて欲しいとは思う。PC 売り場でセキュリティに触れられている所を見たことが無い。ソフトウェア売り場の一角を除いて。

      買う側の「自己責任」に頼りすぎちゃ、いないかな。
      --
      Mc.N
      親コメント
      • >(Apple は除く)

        AppleのOS(Mac OS X)にも脆弱性は頻繁に見つかってますよー。
        ほとんどがUnix由来ので、一応ちゃんとパッチ出てるけど。
        --
        [udon]
        親コメント
    • by Anonymous Coward on 2003年10月03日 22時31分 (#408231)
      >CNETJapanに掲載されています。

      CNETJapanってダメなんじゃないのか?
      以前、ここでも話題に上った話で [srad.jp]
      「最も攻撃を受けている OS は Linux 」ってあったと思います。
      CNETJapanに掲載された内容に疑問に思い、原文を入手して
      比較した方によると歪曲されいる事に気付いたそうです。

      Japan.internet.com: 最も攻撃を受けている OS は Linux [internet.com]
      悪意ある歪曲記事を切る 最も攻撃されたのがLinux? [allabout.co.jp]

      記者に能力がないのかそれともMSのバイアスが掛かっているのか?
      前回の記事の修正として、Japan.interneの信憑性がどうかという事として...
      親コメント
    • 計算機とネットワークを車に例えるのは私もよくやりますね。
      ほんの20~30年前まで、車はよく壊れたりまっすぐ走らなかったりするものでした。
      今のOSは、どれもまっすぐ走らないOSばかりだと思います。ドライブ中に故障したら、ボンネットを開けて点検したり、ちょっとした修理をするくらいの知識は、ドライバーにとって必要なものでしょう。

      今回の訴訟にしても、原告がきちんと運用してたかははなはだ疑問です。計算機を運用する資格試験があってもいいのではないですかね。車の免許制度みたいに。
      少なくともグローバルアドレスを割り振った機械を運用するならば、そのような資格が必要だと考えています。正しく運用されなければ、正しく訴える事も不可能なのですから。
      親コメント
    • ご紹介いただいた記事の中で最も興味を惹いた部分。。。

      「安全なソフトウェアを作ったところで、トロイの木馬のようなウイルスの侵入を防ぐことはできない。そこで我々が考えているのは、ハードウェア上でセキュリティを確保するというものだ。ハードウェアパートナーに安全なチップセットを開発してもらい、それをPCの一部に埋め込む。そのチップが埋め込まれた部分では、ユーザーが信頼できるプログラムしか動かないようにするといった、ハードウェアレベルでのセキュリティ管理が可能となる次世代のセキュアコンピューティング基盤を考えている」

      具体的にこの人がどういうことを考えているのか、これだけではまだいまいちよく分からないのですが (例えば「ユーザーが信頼できるプログラム」を決めるのは誰なのか、あるいはどういう基準でなのか、とか)、それ以上に、セキュリティーをネタにしてハードウェアベンダーに働きかけを起こし、他の OS の追随を阻害しようという計らいなのだとしたら、これはあんまり歓迎できることではないなぁなどと思ってしまったのですが、どうなんでしょうね? (それでも Linux は「勝手に」追随してゆくのでしょうが。。。)

      # 他にもいろいろと突っ込みどころがありそうな感じなのですが、既に酔っ払いゆえ、このくらいでご勘弁を。。。

      --
      むらちより/あい/をこめて。
      親コメント
  • 「以前のOSは脆弱なPCの見本だった・・・」

    「僕はワラにもすがる気持ちで Linux を試してみた」

    「まったくカ・ン・タ・ンだ!」

    「今ではすっかり詳しくなり掲示板でもモテモテ!ありがとう Linux!」

    # んなこたねえ。
    --
    (´д`;)
  • MSのせいで… (スコア:3, 興味深い)

    by mich (6859) on 2003年10月03日 23時24分 (#408279)
    MSのせいでアップデートがずっと無いソフトを使ってると、何となく不安になってくるようになってしまった!
    責任をとってくれ!

    #いやマジで。気になりませんか?
  • by sync.neo (16796) on 2003年10月03日 21時59分 (#408201)
    ソースコード非公開のバイナリのみで提供されるソフトは、
    ユーザ側からするとブラックボックスとみなして信用する
    しかない。しかし、ベンダーはエンドユーザライセンスの
    免責条項を盾に責任逃れをしてしまう。

    ソフトを使った結果に誰も責任を持とうとしないならば、
    いつまでたっても問題は解決しない。クローズド・ソースな
    ソフトは、PL法などで責任を問えるようにすべきでは?
    • by ogc (17734) on 2003年10月03日 22時19分 (#408216)
      少し違うのではないですかね?
      今回のBlasterに関して言えばパッチ自体はあったわけですし、
      当てないことによる被害が甚大に出たので、集団訴訟となったんだと思います。
      オープンソースだとしても、仮にですが被害が大きくなれば同じように集団訴訟なんてことがあってもおかしくないと思います。

      >ソフトを使った結果に誰も責任を持とうとしないならば、
      >いつまでたっても問題は解決しない。クローズド・ソースな
      >ソフトは、PL法などで責任を問えるようにすべきでは

      クローズドソース、オープンソースで考えるのではなく、
      ソフトウェアは今後バグによる被害に対してパッチではない責任もとる必要が出てくるんじゃないかと思ってます。
      親コメント
  • そろそろ (スコア:2, 興味深い)

    by optimized (4229) on 2003年10月04日 1時31分 (#408362)
     本格的にソフトウェアに対しても製造物責任法が適用されるべき頃合いになってきたかと思います。

     これまでは野放しでしたからね。他の分野はたとえば日本なら何らかの形で通産省なりの役人が関与するのに対し、ソフトにはそれが事実上ありません。

     ソフトといえども、人が組織・ラインを成して、コードを作ってコンパイルしており、その過程をチェックすることは不可能ではありませんし、それこそISO準拠の仕事をしているということになれば、そのプログラミングやデバッグなどの過程のチェックエビデンスもきちんとそろっていなければなりません。

     そうか、ISOでソフトウェア作成業務の準拠項目をきちんとガチガチに制定すればいいんでしょうにね。
    --
    optimized for /.
  • たとえば… (スコア:1, すばらしい洞察)

    by GSone (8994) on 2003年10月03日 21時23分 (#408175) 日記
    1週間に3回、修理に出さないと使えない金庫は不良品ですよね…
    さらにその金庫からものが盗まれたら、製造元の責任は免れないですね。
     
    ソフトウエアだけがそういう常識から外れていいという
    なんかいつの間にか出来た暗黙の了解みたいなものは、
    そろそろやめたほうがいいと思います…
    • Re:たとえば… (スコア:2, すばらしい洞察)

      by kiyotan (3912) on 2003年10月04日 0時01分 (#408299) 日記
      金庫は買ったものだけど、
      某OSはお金払って使うことを許してもらったもんだからなぁ。
      --
      Kiyotan
      親コメント
    • by Anonymous Coward on 2003年10月04日 3時40分 (#408433)
      やっぱりたとえが違うような。

      金庫は、セキュリティという機能を提供している。
      OSは、アプリケーションを動作させる機能をメインで提供している。

      その例では、
      金庫の側は主目的の部分に欠陥がある(機能を果たすのに許容できない不都合がある、くらいの意味で「欠陥」)。
      OSの側は主目的では無い部分に欠陥がある。

      なによりWindowsにセキュリティを期待して購入しない(笑)。

      #代替のたとえを提供できないのでAC
      親コメント
    • Re:たとえば… (スコア:1, 参考になる)

      by Anonymous Coward on 2003年10月03日 21時35分 (#408183)

      重機やバールのようなもので金庫を無理矢理こじ開ける事例も頻発していますから、金庫だからといって安心できるというわけではないでしょう。
      さらにいえばメーカーが保証をするのは金庫そのもの(天災により壊れたりした場合の交換保証)だけであって、中身については保証しないのが一般的です。

      親コメント
      • by nakasa (14552) on 2003年10月03日 21時59分 (#408200)
        そもそも金庫にパッチが出るわけではないので、 そのたとえはあまり意味が無いのでは?

        このあと、MS信者派対アンチMSの展開になりそうなのでAC

        親コメント
      • by nakasa (14552) on 2003年10月03日 22時05分 (#408209)
        と思ったらログアウトしてないや・・
        親コメント
      • by GSone (8994) on 2003年10月03日 23時29分 (#408283) 日記
        http://www.imdoor.com/safes/liberty_1.html
         
        さいきんはバールくらいじゃ開かないようですね。
        重機で破壊したら中身までぐちゃぐちゃでしょう…
        つうかスラドってたとえ話をするとそのたとえの対象に
        無理に深入りする性質が有りませんか? 
        たとえってのはイコールのものという意味じゃないんですが。

        >メーカーが保証をするのは金庫そのもの(天災により壊れたりした場合の交換
        >保証)だけであって、中身については保証しないのが一般的です。
         
        それはその金庫の構造に欠陥がない場合ですよね…
        上の金庫の場合、

        >ドリルの刀が簡単に折れる。

        と書きながら、ドリルで簡単に穴が開くようなら、金庫そのものの保証だけでは済まないでしょう。
        親コメント
        • by virtual (15806) on 2003年10月03日 23時53分 (#408293)
          つーか、
          単にカギをかけたつもりなのにカギがかかってない金庫とか、
          「なんちゃってカギ」が付いているだけの金庫とか、
          そもそもカギというものが付いていない金庫とか、
          とかとか、、、
          親コメント
    • by johndoe (3028) on 2003年10月04日 1時20分 (#408351) 日記
      別にソフトウェアだけが常識から外れてるというわけではないと思うけどな
      そのソフトウェアを自分の所有するハードウェアに適用するかは各ユーザなり
      バンドルするハードウェアメーカーなりの判断で、その結果脆弱性が発生した場合、
      その責任は適用した側が負うべきだと思うよ。
      実際、自動車でも正規ディーラ以外が勝手に電子機器増設しまくって漏電おこした
      とかってケースだと自動車メーカーの責任は問えないだろうし
      親コメント
    • Re:たとえば… (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2003年10月04日 1時41分 (#408366)
      喩えが悪すぎます。

      金庫から盗まれたものに対して製造元が責任を取らされる(保証される)なら、
      誰も銀行になんか預けないです。

      そもそも金庫とOSとでは用途が全く違う。
      親コメント
  • この訴訟の影響って、結構でかいんじゃないですか?訴えられるからといってMSがセキュリティ・パッチを出さなくなったり、問題を認めなくなったりしないですかねぇ。この訴えが認められると、ほかのOSやアプリでも1週間に3度パッチを出すなんてできなくなるような。
    --
    ゆーへん
  • 人間の作った物であるから必ずバグや穴がいつか出てくるのは仕方ないことだと思う。
    (プログラマの皆さんに対して、いってはならないことだろうけど;-;)
    普通に使ってるならまだしも「あらを探そうとして使っている」ユーザーもいることだし、
    特に3年4年とあらゆる人に様々な方法で使われているのだから
    その時々の技術に会わせてアップデートするのは仕方ないかなぁ。と。

    もちろんライセンスは払っているけど
    何かセキュリティホールが出たとき、膨大な量のプログラムの中から
    パッチを作り出す作業をする人の事を考えると、OSの料金はまぁ、妥当な線だと思いますし、
    ダメダメ言われても、一応グローバルスタンダード誇れるようになるほどみんなに受け入れれるレベルのソフトだからなぁ。

    何でも裁判にしてると、どんな新しい技術でも導入しにくくなると思うけどどうなんだろう。
    --


    #きっと、可能性っていうのはその辺に落ちているんだけど
    #気がつかない物じゃないかなと思う。
    • by Anonymous Coward on 2003年10月04日 22時05分 (#408778)
      >人間の作った物であるから必ずバグや穴がいつか出てくるのは仕方ないことだと思う。

      これはたしかに定番の台詞なんですが、重要性次第なんですよね。
      人の作ったものだから、ミスで飛行機が落ちてよいか、というとそうではない。
      でも小学校のプリントや町内会の回覧版ぐらいのものならミスだらけでも訴訟にはならないでしょう。

      ミスや見落としが許されるかどうかは、その物の重要性に比例すべきですし、実際それに近いでしょう。

      PCが好事家の玩具でもなく、特殊な状況で使うものでもない、
      かつ重要な情報を扱うものとなってきたということでしょう。
      親コメント
  • by twintail (17629) on 2003年10月04日 0時14分 (#408311)
    セキュリティパッチを出してくれるだけマシではないでしょうか。
    一部の会社はバグ報告をしても全く無視したりしますし・・・。
    最近流行ったBlasterもパッチは既に出ていて、パッチを当てていないユーザーの管理不足が浮き彫りになっただけかと。
    • by shiraga (14233) on 2003年10月04日 1時06分 (#408344)
      最近流行ったBlasterもパッチは既に出ていて、パッチを当てていないユーザーの管理不足が浮き彫りになっただけかと。
      最近、PCを買い替えました。OSはXPを新規インストール。

      昨夜の話です。ADSLがつながったので、まずWindows Update、と思ったら、いきなりBlasterに感染して、強制再起動。
      接続してから5分も経ってません。
      その後、(*)アンチウイルスソフトで除去→Windows Updateの続き→Blaster感染で再起動→(*)のループからしばらく抜け出せませんでした。

      イギリス在住ですが、この近辺ではセキュリティパッチのCD配布の噂も聞きません。

      新規インストールすると、有無を言わさず、こういう目に遭います。
      私の管理不足が問題なんでしょうか?
      どうすれば良かったんでしょうか?
      親コメント
  • by jtakano (13491) on 2003年10月04日 0時35分 (#408320)
    って感じ。
    裁判を起こすこと自体は悪いことではないので、
    どんどんやってください。

    ただやりすぎて、
    「昔Windowsは$300で買えたんだよ。いまじゃ$3000もするし
    一日一回セキュリティパッチのチェックが必要になって、
    パッチがあたっていないと起動できない。」
    なんてことにならないように気をつけてね。

    所詮、パソコンなんて道具なんだから
    ちょっとぐらい問題あったって
    上手に使ってナンボだろ。

    無理にインターネット{に、つなげ|を、つかわ}なくてもいいんだし。

    とはいうものの最近の緊急パッチは醜すぎる。
    再インストールがめんどくさいじゃないか。
    最新のパッチがあたったCD-ROMを無償提供するべし。
  • by Anonymous Coward on 2003年10月04日 3時22分 (#408422)
    無保証の有料のOSと
    無保証の無料のOSがあるってことでいいですか?
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...